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Recovery ပြုလုပ်ရာမှာ Physical Disk, Logical Disk, Forensics Image တွေကနေ 


Recovery ပြုလုပ်နိုင်ပါတယ်1ၢ Forensics Image ကို FTK Imager 92 Mount ပြုလုပ်ပြီးတော့လဲ 


. Qc COC Qc 
Recovery and Analysis အပိုင်းကိုပြုလုပ်နိုင်ပါတယ်| 


File View Mode Help 


GEER -K+-K- MEN "| | Mount Image To Drive xX 


vidence Tree 


| Add Image L 
H-2y 2011-10-19-Sample.E01 St ifi 


Mount Type: Physical & Logical 


Drive Letter: Next Available (1:) 
Mount Method: Block Device / Read Only 


C:Wsers\DFM\Downloads\Compressed\Browser 


Mount 
Mapped Image List 
Mapped Images: 
F 
Drive Method Partition Image 
PhysicalDrivel Block DevicefRead... Image C:Users\DFM\Downloads\Compressed\B 
H: Block Device Read ... ~ Bushell [NTFS] C:WUsers\DFM\Downloads\Compressed\B 


BROWSER FORENSICS WITH COMMERCIAL TOOLS 


EnCase® v1-7 Image (*.e01) 
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Go see the sites! The pages you visit will show up here. 
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Searching for files from folder \DFM\Desktop\Browser (RECOVERY 14.5 Recovered Data’ 


und: C:\Users 2 မ Vv Data\Recovered-0004 
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Importing completed - 1 file(s) have been processed 
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IECompatCache 2022-03-13 15: 14:09, 2-03-13 21: MicrosoftEdge_iecompat:financiamentos.bradesco |EngineBoth 


IECompatCache 2022-03-13 15: 14:09.23 2 2 09.23 MicrosoftEdge_iecompa yw.google.com/intlIntpproviders 
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a Date Modified 
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Hit Count 


twitter.com 
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Keyword Search 


Keyword Manager 


Name Date Modified 
> #3 Keywords 2023-04-24 14:18 


Q Create New Keyword List Xx 
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https://shankoemee. com/ 
Shan Ko Mee 
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Entry Type Download 


Information 


Download Properties 
Download ID: iedownload:{7ACDBF54- 


နး 

2 

3 Browser Session Started [UTC]: 2022-60 

4 Download Completed [UTC] 

5 eceived Length: @ (0.00 KB) 

6 Total Length: 3473784 (3.31 MB) 

yl Cached Patt s\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\TempState\Downloads\winrar-x64-611.exe.3130h4c. partial 
8 Download Path: winrar-x64-611.exe 

9 Encoding: 1200 - Unicode 

10 

11 Containers_484 

12 EntryId: 16 

13 UrlHash: 9150167249408158555 (@x7EFBECA23862EB5B) 
14 

15 

16 

17 ime: 2022-03-22 14:10:38.080 

18 2022-03-22 14:10:38.080 
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&setlang=en-US 
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ecord 648 0f 832 » bm 4 
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HTTP Only 


Secure 
Information Server-Side (Persistent) 


@ Original Value 1703dd81d192bf77f19c7e61647224085 


Date Visited [UTC] Date Visited [Local] 


2022-03-22 14: 11:26.935 
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-| ® cache 2011-10-18 15:03:39. 194 ၄. 1 http://www.bing.com/search?q=how +to +mask +firearm +smell&F ORM=IE8SRC 


A Search Index 


gun ~ Q Search I4 I4 < 
URN 

053\nternet Explorer HTML to Text\F00( 3141.txt 

C:\Users\DFM\Documents\CASE-20230508\ID-115053\Internet Explorer \FTML to Text\F0000003173. txt 

rs\DFM\Documents\CASE-20230508\ID-115053\Internet Explorer \FTML to Text\F0000003168. txt 

s\DFM\Documents 508\VD-115053\Internet Explorer \5TML to Text\F0000003139. txt 

:\Users\bFM\Documents\C 508VD-115053\Internet Explorer \HTML to Text\F0000003087. txt 

\DFM\Documents\ 0230508\ID-115053\Internet Explorer \{TML to Text\F0000003091. txt 
\DFM\Documents\CASE-20230508\ID-115053\Internet Explorer \ HTML to Text\F00000006: 


rs\DFM\Documents' )8\ID-115053\Internet Explorer \TML to Text\-000000( 
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Videos 
Shopping 
News 
how to mask firearm smell Maps 
More 
I 
7 MSN 
Hotmail 
Sign in 
United Kingdom 
Preferences 
Bing 


7 replies from June 
love the smell of powder in the air ... ”...beneath this mask there is more 
Utah Concealed Firearm Permit Course Schedule October 9 VFW 
www.mdshooters.com/showthread.phD?t=60361 
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Forensics Report အနေနဲ ကိုယ်လိချင်တာကို ရွေးချယ်သတ်မှတ်ပြီး Report ထတ်နိုင်ပါတယ် 
နန့ ကုယလုချ ဥ ရွေးချ ရှ တနု 


ဥပမာ အနေနဲ့ Search လုပ်ထားတဲ့ Keywords တွေကိုပဲ ရွေးချယ်ပြီး Report ပြုလုပ်ထားပါတယ် 


နောက်တစ်ခုကတော့ Graphic Report အနေနဲ့ နေ့စဉ်သုံးစွဲတာကို Report ပြုလုပ်ထားပါတယ် 


I Search Term google 
! Date Visited [Local] 2022-03-13 13:26:02.129 Date Visited [UTC] 2022-03-13 06:56:02.129 Record URN 9274 
I Page Title 

URL https:/www.bing.com/search?q=google&src=IE-SearchBox&FORM=IE11SR8pc=EUPP_ 


I Search Term winRAR64Download 
; Date Visited [Local] 2022-03-13 13:26:34.060 Date Visited [UTC] 2022-03-13 06:56:34.060 Record URN 9275 
i Page Title 

URL https:Jwww.bing.com/th?q=winRAR+864+Download&w=100&h=100&c=7&rs=1&p=0&0=5&pid=1.7&mkt=en-WW&cc=MM&s etlang=en&adit=moderatesé=1 


i Search Term winRAR Archiver 
| Date Visited [Local] 2022-03-13 13:39:48.792 Date Visited [UTC] 2022-03-13 07:09:48.792 Record URN 9281 
§ Page Title 

URL https:/Jwww.bing.com/th?q=winRAR+Archiver&w=100&h=100&c=7&rs5=1&p=0&0=5&pid=1.7&mkt=en-WW&cc=MM&setlang=en&adit=moderatesé=1 


i Search Term winRAR Software 
! Date Visited [Local] 2022-03-13 13:39:48.885 Date Visited [UTC] 2022-03-13 07:09:48.885 Record URN 9286 
I Page Title 

URL https:Jwww.bing.com/th?q=winRAR+Software8w=1008&h=100&c=78&r5=1&p=0&0=5&pid=1.7&mkt=en-VWW&cc=MM&setlang=en&adit=moderateSt=1 


! Search Tern winRAR Archiver 
, Date Visited [Local] 2022-03-13 13:39:48.792 Date Visited [UTC] 2022-03-13 07:09:48.792 Record URN 9293 
i Page Title 

URL https:www.bing.com/th?q=winRAR+Archiver&w=1008&h=100&c=78&rs5=1&p=0&0=5&pid=1.7&mkt=en-VWW&cc=MM&s etlang=en&adite=moderatesé=1 


I Search Term googie 
! Date Visited [Local] 2022-03-13 13:34:55.889 Date Visited [UTC] 2022-03-13 07:04:55.889 Record URN 9301 
i Page Title 
URL https:Jwww.bing.cominews/NewsAnswerV2CarouselAjax? 
q=google&width=6088&IG=4A45EA487C025248658134EB69BB3F9CDA&IID=NEWS.401&SFX=0&disablecarousel=1&0MWQ=0 


i Search Term Google.com Search 
! Date Visited [Local] 2022-03-13 13:34:47.433 Date Visited [UTC] 2022-03-13 07:04:47.433 Record URN 9329 
! Page Title 

URL https:www.bing.comith?q=Google.com+Search&w=100&h=100&c=78&rs5=1&p=0&0=5&pid=1.7&mkt=en-WW&cc=MM&s etlang=en&adit=moderatesé=1 


Browser Search Report 


Case Reference CASE-20230509 - ID-082807 Printed 2023-05-0908:29:08.859 
Prepared by Digital Forensics Myanmar - DFM Workspace 5fb39162cedic 


2022-11-12 ‘WH70] 
2022-11-13 Hi0 
2022-11-21 HB] 
2022-11-29 +2 
2022-12-05 B32 
2022-12-08 +2 
2022-12-11 H14 
2022-12-15 +{1] 
2022-12-17 HS 
2022-12-20 +{1] 
2023-01-01 H13 
2023-01-14 ~—f6 


2023-03-06 +3 

2023-03-07 He] 
2023-03-08 -H14 
2023-03-10 -Hi6 


H 
2023-03-16 -}H30 


2023-03-27 4 


2023-04-01 +1] 
2023-04-02 +H] 
2023-04-04 -H13 
2023-04-07 ~ 


2023-04-11 +3 
2023-04-12 +H13 


2023-04-13 


HR 
2023-04-15 -BHG1] 


Daily Usage Report 
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BROWSER FORENSICS WITH COMMERCIAL TOOLS 


န Ooi မ 4 ကိ င Qc Qc ° Qc ~ ချ မျ 
Analysis အဗူင်းကတော့ Application ကိုတစ်ပတံလောကံ အသုံးပြုလိုက်တာနဲ့ အလွယံတစံကူ 


အသုံးပြုနိုင်မှာ ဖြစ်ပါတယ်! Edge Browser ကနေ History ရှင်းထားတာကို ဘာလို့ အချို့သော 


Qo oင @) ~,OC 
Record ထွေက Recovery လုပတ္စအချန်ရှာ ရရှလာတာလဆုရင နး 


Unallocated Cluster, Unallocated Space 


ကျွန်တော်တို့ Storage ထဲမှာရှိတဲ့ ၆ တစ်ခုကို Dဧlete လုပ်လိုက်ရင် မျက်စိအမြင် မှာသာ File က 


QC 


ပျောက်သွားပေမဲ့ Storage qd, Cluster တွေပေါ်မှာရှိနေဆဲဖြစ်ပါတယ်1 ဒါကို Unallocated Cluster, 
Unallocated 9 Space ္လ္ထလဏ္ထC္ရY~၉ခေါ်ပါတယ်ၢ အဲဒီအချိန်က Recovery ္ဒပါOြုလုပ်လို့ရနိုင်တဲ့ 
အခြေအနေဖြစ်ပါတယ် ဒါပေမဲ့ နောက်ထပ် ၆ilဧ တစ်ခုက စောနက Fi[ဧ ဖျက်လိုက်တဲ့ Cluster 
တွေပေါ်မှာ နေရာယူသွားမယ်ဆိုရင် Overwrite ဖြစ်ပြီး Recovery ပြုလုပ်လို့မရနိုင်တော့ပါၢ 
ပိုပြီးရှင်းအောင် ပုံနဲ့ပြသထား ပါတယ်ၤ ပုံကို Cluster ဤ အနေနဲ့မကြည္ခ်ံပဲ Sector 


` ဲကြ ဇင )] S| 
အနေန့့လ(ကြည့နုင ပါတယ 


File 1 On Cluster 1,2,3,4 


File 1 
4 J္ဓၾWJry 


Cluster - 1 Cluster - 2 Cluster - 3 Cluster - 4 


After Deleted File 1 


File 2 Overwrited File 1 On Clutser 1,2,3,4 


File 2 


< T—.> 
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BROWSER FORENSICS WITH COMMERCIAL TOOLS 


File View Mode Help 
CCE EERE mm ®BIWDeH RRR rT. 
E-SYy \\.\PHYSICALDRIVEO Name Size Type Date Modified 
G--ssl EFI system partition (1) [100MB] i 
GH-~#ss] Microsoft reserved partition (2) [16MB] —~ 000006 408 Unallocated Sp... 
El-#s Basic data partition (3) [237758MB] L1000110 2,624 Unallocated Sp... 
EIS Local Disk [NTFS] [| J] 000767 12 Unallocated Sp... 
{C3 lophan] [J 000776 80 Unallocated Sp... 
= =~ တ (] 000797 13,064 Unallocated Sp... 
E-#msi Basic data partition အး [238735MB] L]005170 102,400 Unallocated Sp... 
Ei-t8 New Volume [NTFS] [1030770 102,400 Unallocated Sp... 
{£3 lomphan] [ 1056370 102,400 Unallocated Sp... 
HC) [root] [081970 102,400 Unallocated Sp... 
[6 bunallocated space] (107570 102,400 Unallocated Sp... 
i အျ မကေ te. (133170 102,400 Unallocated Sp... 
H.-C) loot] Ll 158770 102,400 Unallocated Sp... 
mi) [J] 184370 102,400 Unallocated Sp... 
H--Bsl Basic data partition (6) [10240MB] 
G-~sesl Partition 7 [5O09MB] 
[3 te Unpartitioned Space [GPT] 


Unallocated Space 
Cluster Slack, Slack Space 


ကျွန်တော်တို့ File တစ်ခုကို Storage ပေါ်သိမ်းဆည်းတဲ့အခါမှာ File Size က Cluster Size တွေရဲ့ 
ပမာဏထက်ငယ်နေရင် Cluster Slack, Slack Space တွေဖြစ်ပေါ်လာ ပါတယ် Slack Space 
တွေက Sector, Cluster Size အနေနဲ့ကြည့်ရင် မသိသာပေမဲ့ Storage တစ်ခုလုံးအနေနဲ့ဆိုရင် 
Forensics Evidences တွေရှိနိုင်ပါတယ်1 Sector တွေပေါင်းထားတဲ့ အစုအဝေးကို Cluster 


Q QC Qc င 
လို့သတ်မှတ်ပါတယ် 


File 1 On Cluster 1,2 
File 1 


Cluster 1 Cluster 2 


After Deleted File 1 


File 2 Overwrited File 171 On Clutser 1,2 


Cluster - 2 (Slack Space) 
File 1 


File 2 
D 
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BROWSER FORENSICS WITH COMMERCIAL TOOLS 


RAM Slack 


Windows 95 ရှေ့ပိုင်းမှာတော့ လွတ်နေတဲ့ Sector နေရာကို RAM ပေါ်မှာရှိတဲ့ Data တွေကို random 
ယူ ပွီးထည့်ပါတယ်| နောက်ပိုင်း Window Version တွေမှာတော့ လွတ်နေတဲ့ Sector နေရာကို 0x00 
တွေထည့်လိုက်ပါတယ်1 ဥ0eo၁ Sector Size 512 KB ရှိတယ် Sector ထဲမှာ သိမ်းဆည်းထားတဲ့ Data 
က 500 KB ရှိတယ်ဆိုရင် ကျန်လွတ်နေတဲ့ Space 12 KB 9 0x00 တွေထည့်လိုက်တာဖြစ်ပါတယ် 
Just For knowledge oli နောက်ပိုင်း Window Version တွေကြောင့် Ram Slack က သိပ်အသုံး 


Qc 
မဝင်တော့ပါၢ 


File 1 On Sector 1,2 


File 1 
< TT —.> 


Sector 1 Sector 2 


After Deleted File 1 


Sector 1 Sector 2 


File 2 Overwrited File 1 On Sector 1,2 


File 2 RAM SLACK 
(ပာ 


0x00 , 0x00, 0x00, 0x00. 


Sector 1 Sector 2 
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Data Fragmentation 


File တွေကို Read Write ပြုလုပ်တဲ့အခါမှာ Storage ပေါ်မှာ သိမ်းဆည်းထားတဲ့ Data တွေက 
Sector, Cluster ပေါ်မှာ တစ်ဆက်တည်းဖြစ်နေရင် Read/Write Speed ပိုမြန်ပါတယ် File Data 
တွေက ပြန့်ကျဲနေရင် Hard Disk ကို Fragmentation ပြုလုပ် ဖို့လိုအပ်မှာဖြစ်ပါတယ် ပုံမှာဆိုရင် 

န ° [~ . [@) နး Qc မျ 
File 1m Cluster 1,2,5,6 ပေါ်မှာရှိနေပြီး File 2 က Cluster 3,4 နေရာမှာရှိနေပါတယ် တစံကယံလူဲ့ 
File 1 ကို Recover ယူမယ်ဆိုရင် File 2 ရဲ့ Data တွေပါ ပါလာနိုင်ပါတယ်1 ဆိုလိုချင်တာက Sector 
Base Recovery ပြုလုပ်ရာမှာ File Data သိမ်းဆည်းတဲ့ Sector, Cluster တွေက တစ်ဆက်တည်း 


ဖြစ်မနေရင် (Fragmentation ဖြစ်နေလျှင်) Recovery ပြုလုပ်ရာမှာ အခက်ခဲရှိ နိုင်ပဲ တယ် 


File 1 
< > 


Cluster - 1 Cluster - 2 Cluster - 3 Cluster - 4 


Cluster - 1 Cluster - 2 Cluster - 3 Cluster -4 Cluster - 5 Cluster - 6 


Master File Table 


NTFS File System go အဓိကအကျဆုံးကတော Master File Table (MFT) ပဲဖြစ်ပါတယ် File Size, 
File Name, File Date & Time, File Permission စတဲ့ Information တွေအကုန်ပါဝင်ပါတယ် 
NTFS File System @ာရှိတဲ့ File မှန်သမျှက MFT ထဲမှာ Entry အနေနဲ့ပါဝင်ပါတယ်ၢ MFT ကလဲ 
Entry တစ်ခုအနေနဲ့ Mater File Table (Oမှာပါဝင်ပါတယ်ၢ NTFS File System က’@ကို File 
တွေရောက်လာတဲ့အမျှ ရောက်လာတဲ့ Fil တိုင်းရဲ့ Entry ကို MFT Table yှာသ္မွားမှတ်ပါတယ် 
ဒါကြောင့် MFT Table q, File Size ကလဲ Entry ဓမားလာတာနဲ့အမျှတိုးလာပါတယ်ၤၢ NFTS File 
System ရ, Volume တိုင်းမှာ MFT ရှိပါတယ် Fil တစ်ခုကို ဖျက်လိုက်မယ်ဆိုရင် အဲဒီ File ရဲ MFT 
ဇ ဝှ 


Entry ကို Free အနေနဲ့သတ်မှတ်လိုက်ပြီး နောက်တစ်ကြိမ် Entry တစ်ခုမှတ်မယ်ဆိုရင် 
သုံးလို့ရအောင်ထားလိုက်ပါတယ်ၢ ဖျက်လိုက်တဲ့ File ရဲ့ Disk Space နေရာမှာ အခြား File 
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တစ်ခုကဝင်ပြီးနေရာယူသွားရင်တောင် Entry နေရာမှာ လွှတ်မသွားတဲ့အတွက် MFT Size က လျော့ 
မသွားပါဘူး] NFTS File System g¢> MFT Size တိုးလာရင် အသင့်ဖြစ်အောင် Space 


သီးသန့်ချန်ထားပါတယ် အဲဒီ Space ကို MFT Zone လို့ခေါ်ပါတယ် 


File View Mode Help 


aadeaaSEREဠs:=>mBIGDB0 BRR? 
Evidence Tree > COT 
= Name Size Type Date Modified 
New Volume [NTFS A 
= ၈ SBadClus 0 Regular File 7/21/2022 8:56:43 AM 
B 3 Iroot] [1] SBitmap 7,461 Regular File 7/21/2022 8:56:43 AM 
Po kfB #PDATE.7z |] $Boot 8 Regular File 7/21/2022 8:56:43 AM 
IF $BadClus [၂ $130 24 NTFS Index All... 5/9/2023 1:50:19 AM 
— E-D) SExdend |] SLogFile 65,536 Regular File 7/21/2022 8:56:43 AM 
H.-C) SRECYCLE.BIN က္ဘအဏးဆုညာဒသတ္ယာ 
2 Regular File /21/2022 8:56:43 AM 
~] SMFTMirr 4 Regular File 7/21/2022 8:56:43 AM 
H-C) 3uTools [] $Secure 1 Regular File 7/21/2022 8:56:43 AM 
H-t8 AmpedAuthenticate ~ [| $STXF_DATA 1 NTFS Logged... 5/9/2023 1:50:19 AM 
[| - တ မသတည္သ္သ [J SUpCase 128 Regular File 7/21/2022 8:56:43 AM 
| ae iit Temp [J $SVolume 0 Regular File 7/21/2022 8:56:43 AM 


Thank You ...... IM 


Aung Zaw Myo 
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